加密貨幣生態系統近期因近年來最大規模的鏈上詐騙之一而受到震撼。價值近5,000萬美元的USDT在幾秒鐘內被通過一種稱為「地址投毒」的攻擊方式發送到錯誤的錢包。這起事件不僅凸顯了個人操作失誤,也將區塊鏈架構與用戶行為如何危險交織的問題推到了前台。
window.lazyLoadOptions=Object.assign({},{threshold:300},window.lazyLoadOptions||{});!function(t,e){"object"==typeof exports&&"undefined"!=typeof module?module.exports=e():"function"==typeof define&&define.amd?define(e):(t="undefined"!=typeof globalThis?globalThis:t||self).LazyLoad=e()}(this,function(){"use strict";function e(){return(e=Object.assign||function(t){for(var e=1;e
window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});
How the Address Poisoning Attack Occurred
這起事件的核心是一個已經活躍近兩年的錢包,主要用於USDT轉帳。在從Binance提取資金後,該用戶收到了約5,000萬美元的USDT。用戶認為這是一種安全的方式,於是先進行了一筆小額測試轉帳。幾分鐘後,進行了主轉帳,但在不知情的情況下,使用了錯誤的地址。
在這之前,詐騙者已經設置好了「地址投毒」攻擊。詐騙者創建了一個與受害者常用地址極為相似的錢包,並向其發送了一小筆USDT,將其添加到交易歷史中。由於錢包介面中的地址通常顯示為冗長且複雜的字串,用戶在打算轉帳時,不小心從交易歷史中複製了這個偽造地址,導致近5,000萬美元只需點擊一次就被轉入攻擊者的錢包。
The UTXO Model Controversy and Charles Hoskinson’s Perspective
Cardano創辦人Charles Hoskinson對此事件發表了看法,他認為在某些區塊鏈架構中,發生這類損失要困難得多。他指出,Ethereum及基於EVM的網路所採用的帳戶模型,從結構上使得像地址投毒這樣的詐騙成為可能。在這種模型下,地址被視為永久帳戶,錢包經常提示用戶從過往交易中複製地址,這正是詐騙者鎖定的習慣。
根據Hoskinson的說法,採用UTXO模型的網路,如Bitcoin和Cardano,在這方面更具韌性。在UTXO模型中,每筆交易都會產生新的輸出並消耗舊的輸出,從而消除了永久「帳戶餘額」的概念。因此,不會有可被視覺上投毒的持續地址歷史。他強調,這起事件並不是協議漏洞或智能合約錯誤,而是設計與人類行為之間危險互動的結果。
近期其他報導也提醒了類似風險。過去幾週,一家主要錢包提供商發布了安全更新,提醒用戶警惕複製地址的習慣,並重新設計了地址驗證介面。這些發展凸顯了錢包設計與個人防範同等重要。
